網絡中分布式拒絕服務攻擊的防范

徐　亮

[摘要]DDos（Distributed Denial of Service）即分布式拒絕服務攻擊，攻擊者在Client（客戶端）操縱攻擊過程。每個Handler（主控端）是一臺已被入侵并運行了特定程序的系統主機。每個主控端主機能夠控制多個Agent（代理端）。每個代理端也是臺已被入侵并運行另一種特定程序的系統主機。每個響應攻擊命令的代理端會向被攻擊目標主機發送拒絕服務攻擊數據包。對這種攻擊的防范措施進行研究。

[關鍵詞]分布式拒絕服務攻擊 防范 措施

中圖分類號：TP3 文獻標識碼：A 文章編號：1671－7597（2009）0720055－01

前些年，Yhaoo等一些大型商業站點所遭受的分布式拒絕服務攻擊，是繼Internet蠕蟲之后最引人注目的網絡攻擊事件。其攻擊強度和范圍之廣令人震驚，更讓人擔憂。與以前所有的攻擊不同，受攻擊者無法通過改善其防范措施來有效抵御這類攻擊。這次事件充分證明了新式攻擊工具的威力，也給我們帶來新的啟示，網絡時代的安全需要廣泛的相互支持和合作。無論你的系統如何健壯、資源如何充足，攻擊者總是能通過分布式拒絕服務攻擊網絡把許多零散、微不足道的資源組織起來，會聚成十倍甚至百倍于你的資源。如果你的系統每秒鐘可以處理10000個請求，攻擊者可以通過分布式拒絕服務攻擊網絡調用100臺每秒發送200個請求的攻擊代理來淹沒你的系統。

一、分布式拒絕服務攻擊

攻擊代理程序在接收到攻擊主管程序發送來的攻擊命令后，將對其提供的攻擊目標、攻擊時間長度以及攻擊方法發起攻擊。Trinoo的攻擊幽靈程序使用UDt洪潮的方法攻擊日標；而TNF和Stacheldraht都可以選用UDt洪潮、TCP同步洪潮、CIMP_ECHO請求洪潮、Smurfmg這4種方法中的一種或多種，并且這4種攻擊方法將與源IP地址相結合，這一方面使攻擊難以跟蹤，另一方面使目標收到的數據包更類似于正常情況。

分布式拒絕服務攻擊的安裝過程包括一系列非常隱蔽的入侵攻擊。通常的做法是攻擊者首先在某個具有高速的Internet連接，且用戶多而管理松散的主機上盜用N個帳戶，用以存放預先編譯好的掃描工具入侵工具，Root Kit（用以隱藏入侵蹤跡的工具）、Sniffer監聽工具、分布式拒絕服務攻擊的主管和代理程序，以及已經在控制之中的Internet主機（俘虜主機）的IP列表和具有可利用安全漏洞的主機（以下稱脆弱主機）的1P列表，預先編譯好的腳本程序能根據IP列表在俘虜主機或脆弱主機上安裝分布式拒絕服務攻擊的主管程序，安裝完畢，則通過預先定義的端口自動建立與被盜用帳戶所在主機的連接，或者向某個指定的免費Web MaR帳戶發送電子郵件以確認安裝成功。接著，攻擊者根據攻擊主管節點和俘虜主機、脆弱主機的分布情況，設計分布式拒絕服務攻擊網絡的分布圖。編制腳本程序上載到被盜帳戶中，該腳本程序將自動在入侵者指定的俘虜主機上安裝攻擊代理程序，攻擊者在每個攻擊主管節點上維護一份由該主管程序控制的攻擊代理節點的1P列表。

在目前發現的分布式拒絕服務攻擊網絡中，攻擊代理程序的自動安裝程序會在系統的定時一程序表中增加一條記錄，設定攻擊代理程序每分鐘啟動一次，在Stacheldraht中攻擊代理程序甚至可以按照攻擊主管程序的指令，到某個指定的地方獲取新的版本，進行自我升級。

二、抵御攻擊的措施

方法：1．緊密跟蹤安全動態：這是一條普遍適用的原則。在技術飛速發展的今天，隨時了解有關的安全動態更顯必要。隨時一掌握最新安全信息有三個主要目的：（1）是了解、掌握最新的安全保護技術、工具；（2）是了解新出現的安全漏洞或攻擊方法，以及新的攻擊工具的特點；（3）是根據對當前安全動態和自身網絡、系統特點的綜合分析，采取必要的措施增進網絡、系統的安，包括及時安裝必要的補丁程序，修訂原有的安全策略，引進必要的安全工具等等。

2．簡單的服務，嚴格的訪問控制：這條原則的指導思想來源于越單一越安全。在網絡邊緣，即連接（不僅是物理還包括邏輯連接）內部網絡與外部網絡的節點處，這個原則尤其重要。簡單的服務指僅提供必需的服務/功能，功能齊全是爭取用戶的一項重要措施，許多工具、「產品的缺省安裝都提供了名目繁多的功能。這些功能在方便用戶的同時，也可能給攻擊者帶來了更多入侵的機會。

嚴格的訪問控制策略：指除非被明確允許，否則一律拒絕。這要依靠路由器等網絡設備和防火墻、甚至是自主開發的一些安全工具來輔助實現。網絡通訊是通過交換數據包實現的，所以應嚴格限制數據包的類型除非在被明確允許的數據包類型之列，否則不允許進/出本網。這兩項措施相配合，可以降低主機系統、網絡系統的復雜程度，減小遭受未知模式攻擊的可能性，可以減輕日常管理的工作量（比如需要審計的日志減少，系統配置時只需考慮為數不多的幾類服務的特殊要求等等），而且一旦出現意外事件，實時搜查的范圍小，便于迅速找到事情起因。

如果系統管理員可以在本地對網絡設備進行配置管理，就應關閉其遠程管理功能，以免入侵者利用其中某個還未公開的漏洞使你的系統成為他的俘虜：如果沒有特殊的需要，可設置路山器使之阻隔來自外界的直接廣播使之不響應發往廣播地址的PING包，這可以使你的網絡避免成為Smurf攻擊的中轉網絡；使路由器僅允許源于內部的IP包向外發出，可以防止本網段的IP地址欺騙；嚴格配置的防火墻可限制外部網絡對內部主機、端口的訪問，記錄各種對系統的越權訪問請求。這樣的系統，能把入侵者的端口掃描拒之門外，即使網絡中己經存在Satcheldrhat的攻擊主管節點，攻擊控制臺也無法通過16660端口與其取得聯系。

3．定期對系統進行安全檢查：一般的系統日志僅提供有限的信息，所以，除了常規的日志審查之外，有必要定期對系統進行安全檢查。安全檢查的目的至少有兩個：其一及時發現系統的安全缺陷，這些缺陷可能是新發現的，或者是由于系統配置改變引起的，或者是對系統的使用不當引起的；其二及時發現入侵的蹤跡。

有兩類工具值得推薦：一類是入侵檢測工具，它能夠實時檢測入侵蹤跡。通常也具有漏洞檢測工具的功能，即通過模擬入侵行為，幫助管理員了解系統的安全漏洞所在；另一類是文件系統完整性檢查工具，典型的有Tripe Wire，它通過記錄、比較文件或目錄的MDS等多種難以仿冒的簽名等信息，幫助管理員迅速發現被非法篡改的重要文件。需要提醒的是，對于記錄文件/目錄完好狀態信息的簽名文件，應該妥善保存，比如把它存放在一次性可寫的CDROM上，以防被篡改。

參考文獻：

[1]鄭顯舉、張敏、徐琳、龔茗茗，DDoS攻擊原理及防御[J]成都電子機械高等?？茖W校學報，2007，（02）.

[2]張胡，校園網DDoS攻擊防御平臺建設方案研究[J]電腦知識與技術，2008，（33）.